Group-IB обнаружила следы новых атак хакеров RedCurl, занимающихся коммерческим шпионажем и кражей корпоративной документации у компаний из различных отраслей. На этот раз в фокусе группы оказался российский ритейлер, входящий в ТОП-20 крупнейших интернет-магазинов России. Новый аналитический отчет Group-IB «RedCurl. Пробуждение» описывает изменение тактики и инструментов группы, используемых для проникновения в сети компаний, интересующих хакеров или их заказчиков. Всего на счету RedCurl на данный момент 30 атак.
В прошлом году в отчете «RedCurl. Пентест, о котором вы не просили» специалисты Group-IB впервые заявили о том, что ими обнаружена новая русскоязычная группа, получившая имя RedСurl. В период с 2018 — 2020 гг. она совершила 26 атак, при этом команде Group-IB удалось идентифицировать 14 организаций-жертв RedCurl из разных стран и индустрий. Среди ее целей — строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации из России, Украины, Великобритании, Германии, Канады и Норвегии. Спустя 7 месяцев — уже в 2021 году — атаки RedСurl возобновились.
«Наша система Group-IB Threat Intelligence & Attribution фиксирует появление обновленных инструментов RedCurl: после продолжительного перерыва группа вернулась на арену кибершпионажа, — комментирует Иван Писарев, руководитель отдела динамического анализа вредоносного кода Group-IB. — Атакующие показывают глубокие навыки проведения тестов на проникновение, а также разработки вредоносного ПО способного обходить классические антивирусные средства защиты. А значит все большее количество компаний будут попадать в список жертв группы, проводящей таргетированные атаки с целью кражи внутренних документов компаний. Шпионаж в коммерческой сфере остается пока еще редким и во многом уникальным явлением. Однако мы не исключаем, что успех данной группы может задать новый тренд на арене киберпреступлений».
С начала 2021 года система киберразведки Group-IB Threat Intelligence & Attribution зафиксировала 4 атаки, в двух из которых идентифицированная жертва располагалась в России и была атакована дважды. Ею стал один из крупнейших российских ритейлеров, специализируются на оптовой и розничной торговле в интернете. Обнаружив следы атаки, специалисты Group-IB оперативно связались с жертвой, предоставили данные и проконсультировали о необходимых действиях для локализации и купирования дальнейшего развития инцидента.
В период затишья группа провела серьезные улучшения своих инструментов для достижения своей главной цели — хорошо подготовленного шпионажа, который может быть раскрыт только высокопрофессиональной командой по кибербезопасности.
Перед атакой RedCurl еще тщательнее исследуют свою жертву: их «фирменным стилем» является отправка фишинговых писем в разные департаменты организации от имени HR-команды. Однако, в новых атаках на ритейл RedCurl пошли еще дальше и осуществили две хорошо подготовленные рассылки — одна была «классической» — от имени HR-департамента организации-жертвы, а вот вторая — уже от имени всем известного госпортала с интригующей темой письма — «Возбуждении исполнительного производства». Естественно, данные письма не имели никакого отношения ни к департаменту по работе с персоналом, ни к госучреждениям.
Из примера фишинговых писем видно, что RedCurl активно использует социальную инженерию — заинтересованные темой премирования, сотрудники, конечно, кликают на указанную ссылку:
После заражения компьютера в сети целевой организации, RedCurl начинают собирать информацию об инфраструктуре жертвы. В первую очередь их интересуют версия и название зараженной системы, список сетевых и логических дисков, а также список паролей. По информации Group-IB Threat Intelligence & Attribution, на стороне сервера похищенная с зараженной машины информация, IP-адрес и время получения запроса сохраняются в отдельный файл. Любопытно, что перед сохранением в файл время корректируется с учетом часового пояса города Минск (UTC+3).
RedCurl не занимать терпения — с момента заражения до кражи данных проходит 2—6 месяцев. Группа не использует классических инструментов постэксплуатации, таких как CobaltStrike или Meterpreter. Также они ни разу не были замечены в использовании стандартных либо общеиспользуемых средств удаленного контроля скомпрометированных устройств. Первоначальное заражение, закрепление на зараженном устройстве, продвижение в сети, кража документов — все это осуществляется за счет самописных и нескольких публичных инструментов. Именно поэтому действия и методы RedCurl все еще остаются уникальными для русскоязычной хакерской сцены.
Group-IB отмечает, что несмотря на высокий уровень контроля сети жертвы, группа не занимается шифрованием ее инфраструктуры, не выводит деньги со счетов, не требует выкуп за украденные данные. То есть не делает ничего, чтобы реализовать стандартные для киберкриминала финансовые амбиции. Как правило, это указывает на то, что группа, получает вознаграждение за свою «работу» из других источников. Ее задача — как можно незаметнее добыть ценные сведения. Прежде всего, RedCurl интересуют: деловая переписка по электронной почте, личные дела сотрудников, документация по различным юридическим лицам, судебным делам и другая внутренняя информация. Даже после окончания атаки жертва может оставаться в неведении, что все ее секреты уже скачаны на сервера RedCurl.
В своем отчете Group-IB приводит ряд рекомендаций, которые необходимо выполнить ИТ-командам и службам безопасности компаний, независимо от их масштаба и профиля деятельности. Для более глубокого понимания техник, тактик и процедур атакующих, которые используют в своих атаках RedCurl отчет содержит матрицу MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), данные в которой основаны на нашем собственном опыте реагирования и анализа атак группы.